Vulnérabilités dans openldap
Date de publication :
Plusieurs vulnérabilités ont été corrigées dans la dernière mise à jour d’Openldap. L’exploitation de ces failles peut permettre à un attaquant distant et non-authentifié de perpétrer un déni de service.
CVE-2020-36221[Score CVSS v3 : 7.5] : Une vulnérabilité de type débordement d'entiers a été corrigée dans OpenLDAP. Son exploitation peut conduire à un plantage de slapd dans le traitement de l'assertion exacte du certificat, entraînant un déni de service (schema_init.c serialNumberAndIssuerCheck).
CVE-2020-36222 [Score CVSS v3 : 7.5] : Une faille a été corrigée dans OpenLDAP. Son exploitation peut conduire à un échec d'assertion dans slapd lors de la validation saslAuthzTo, entraînant un déni de service.
CVE-2020-36223 [Score CVSS v3 : 7.5] : Une faille a été corrigée dans OpenLDAP. Son exploitation peut conduire à un crash de la gestion du contrôle du filtre de retour des valeurs, entraînant des potentielles lecture double ou hors-limite, provoquant ainsi un déni de service.
CVE-2020-36224[Score CVSS v3 : 7.5] : Une faille a été corrigée dans OpenLDAP. Son exploitation peut conduire à un plantage de l'application lors du traitement saslAuthzTo.
CVE-2020-36225 [Score CVSS v3 : 7.5] : Une faille a été corrigée dans OpenLDAP. Son exploitation peut conduire à un plantage de slapd dans le traitement saslAuthzTo, entraînant un déni de service sur l'ensemble de l'application.
CVE-2020-36226[Score CVSS v3 : 7.5] : Une faille a été corrigée dans OpenLDAP. Son exploitation peut entraîner une erreur de calcul de memch->bv_len et un crash de slapd dans le traitement de saslAuthzTo, provoquant ainsi un déni de service.
CVE-2020-36227 [Score CVSS v3 : 7.5] : Une faille a été corrigée dans OpenLDAP. Son exploitation peut conduire à une boucle infinie dans slapd avec l'opération cancel_extop Cancel, entraînant un déni de service.
CVE-2020-36228[Score CVSS v3 : 7.5] : Une vulnérabilité de type débordement d'entiers a été corrigée dans OpenLDAP. Son exploitation peut conduire à un crash du traitement de l'assertion exacte de la liste des certificats, entraînant un déni de service.
CVE-2020-36229[Score CVSS v3 : 7.5] : Une faille a été corrigée dans le composant ldap_X509dn2bv de OpenLDAP. Son exploitation peut conduire à un crash du slapd dans l'analyse du DN X.509 dans ad_keystring, entraînant un déni de service.
CVE-2020-36230[Score CVSS v3 : 7.5] : Une vulnérabilité de type débordement d'entiers a été corrigée dans OpenLDAP. Son exploitation peut conduire à un échec d'assertion dans slapd dans l'analyse du DN X.509 dans decode.c ber_next_element, entraînant un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Criticité
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
Aucune code d’exploitaiton n’est disponible publiquement à ce jour.
Composants vulnérables
Les versions de OpenLDAP antérieures à la version 2.4.57 sont impactées par cette vulnérabilité.
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour Openldap vers la version 2.4.57 ou vers une version ultérieure.
Solution de contournement
Aucune solution de contournement n’est disponible à l’heure actuelle.